• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Il ransomware Memento colpisce anche senza crittografia

Scoperta e analizzata dai ricercatori di Sophos, questa minaccia procede con una tecnica alternativa quando risulti impossibile crittografare i file oggetto dell’attacco.

Pubblicato il 19 novembre 2021 da Redazione

Tipicamente i ransomware usano la crittografia per prendere in ostaggio dati, applicazioni e sistemi, ma qualcuno agisce diversamente, con tecniche alternative. Memento, un ransomware emerso la scorsa primavera, scoperto e analizzato dai ricercatori di Sophos, sa modificare la procedura di attacco all’occorrenza: in caso non riesca a crittografare i dati target, procede al loro spostamento all’interno di un archivio protetto da password. Per le vittime il risultato sarà lo stesso, cioè quello di non poter più accedere ai dati, con le conseguenze che ne derivano in termini di funzionamento delle applicazioni e dei servizi.


Sophos ha ricostruito, in particolare, un sofisticato attacco avvenuto in più fasi e nel corso di mesi. Gli attori cybercriminali sono riusciti a entrare nell’azienda target nel mese di aprile sfruttando una vulnerabilità di vSphere, il software di Vmware per la virtualizzazione degli ambienti cloud. Da qui, i malfattori hanno ottenuto accesso a un server e dal mese di maggio in poi sono rimasti nascosti nella rete a scopo di ricognizione, esplorandola con movimento laterale, e per fare ciò hanno sfruttato il Remote Desktop Protocol (Rdp), lo scanner di rete Nmp, l’Advanced Port Scanner e il lo strumento di tunneling Secure Shell (Ssh) Plink per creare una connessione interattiva con il server violato. Hanno inoltre utilizzato Mimikatz, un software per la raccolta di credenziali, così da prepararsi per la violazione degli account della fase successiva.

Nella giornata del 20 ottobre i cybercriminali sono passati all’azione, utilizzando WinRAR per eseguire la compressione di una serie di file ed esfiltrandoli poi tramite Remote Desktop Protocol. Il colpo finale è stato sferrato tre giorni dopo: inizialmente gli autori dell’attacco hanno cercato di crittografare i file ma, non riuscendoci a causa delle misure di sicurezza adottate dall’azienda, hanno cambiato tattica. Hanno dunque modificato e reinstallato Memento, per poi copiare i file non cifrati in archivi protetti da password. Infine hanno crittografato tale password e cancellato i file originari. L’ultimo passaggio è stato il tentativo di estorsione: è stato chiesto un riscatto da 1 milione di dollari in Bitcoin.

Fortunatamente l’azienda colpita è stata in grado di recuperare i dati senza dover cedere al ricatto. Il merito spetta ai sistemi di backup, da cui è stato possibile ripristinare la maggior parte dei dati e riportare le operations alla normalità. Inoltre, attraverso i sistemi protetti dalla soluzione di endpoint detection and response InterceptX di Sophos, è stato anche possibile recuperare le password (non crittografate) usate dagli attaccanti per l’archivio cifrato. Gli esperti dei team SophosLabs e Sophos Rapid Response hanno fornito all’azienda un metodo per recuperare i file su cui non era stato eseguito un backup.

 

(Immagine: Sophos)

 

Il problema delle vulnerabilità irrisolte

Una descrizione più tecnica di questo attacco multi-fase è disponibile sul sito di Sophos. C’è però un altro fatto interessante da sottolineare: mentre gli autori di Memento si trovavano all'interno della rete colpita, altri cybercriminali sono entrati attraverso la medesima vulnerabilità di vSphere utilizzando exploit simili. In due diversi attacchi compiuti da diverse persone, il 18 maggio e il 3 ottobre, sono stati installati due programmi di cryptomining sullo stesso server già violato dagli autori di Memento.

 

“Lo vediamo continuamente: quando le vulnerabilità accessibili da Internet diventano pubbliche e non vengono neutralizzate con le apposite patch, numerosi attaccanti corrono ad approfittarne”, ha sottolineato Sean Gallagher, senior threat researcher di Sophos. “Più a lungo si aspetta per mitigarle, più attaccanti ne saranno attirati. I cybercriminali eseguono costantemente la scansione di Internet alla ricerca di punti di ingresso vulnerabili, e di certo non si mettono in fila ad aspettare quando ne trovano una. Essere violati da più attaccanti non fa che moltiplicare i danni e i tempi di ripristino per le vittime, e rende anche più complicato per gli investigatori riuscire a far chiarezza e capire chi abbia fatto cosa, informazioni importanti per chi deve affrontare le minacce per aiutare le aziende a evitare ulteriori attacchi dello stesso genere”.

 
Tag: sophos, crittografia, cybercrimine, ransomware, cyberattacco, Memento

SOPHOS

  • Ransomware, il danno supera di molto le richieste di riscatto
  • Sophos potenzia scoperta e risposta alle minacce con Soc.Os
  • Sophos si prende cura della sicurezza di Linux e container
  • Sicurezza più semplice e senza interruzioni per DentalPro
  • Nella cybersicurezza, la velocità della risposta è la priorità

NEWS

  • WhatsApp per le aziende diventa (anche) un'Api in cloud
  • Killnet colpisce ancora, hacker russi sui siti di Csm e ministeri
  • Non solo ransomware: l’estorsione viaggia con il phishing
  • La trasformazione digitale rallenta, ma non dovrebbe farlo
  • Gli antivirus di Kaspersky sono sicuri? Un audit dice di sì
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Quale cloud per le aziende e la Pubblica Amministrazione italiana?
Un futuro articolato per il software e i servizi per i professionisti
Arriva da Avaya il nuovo chief operating officer di Ivanti
Da Achab il servizio Mdr di Sababa che facilita la vita agli Msp
Visibilità e controllo dei rischi con l’ecosistema Trend Micro One
Ospedali milanesi, bloccati i sistemi IT per colpa di un ransomware
Sean Kerins è il nuovo amministratore delegato di Arrow Electronics
Bitdefender rafforza le strategie di canale con una doppia nomina
Cloud portatore di resilienza, la spesa mondiale cresce del 34%
Lo smart working a Venezia è unico e non teme paragoni
Ancora un trimestre record per Apple, boom dei servizi
Sophos potenzia scoperta e risposta alle minacce con Soc.Os
Icos si consolida in Germania con l’acquisizione di Brainworks
Crisi dei semiconduttori estesa fino al 2024, ma Intel è ottimista
Giovanna Sangiorgi da Oracle a NetApp per guidare l’Emea
Per la salute dei pazienti c’è anche bisogno di sicurezza informatica
Rischio privacy per audio e videochiamate sui telefoni Android
Pc e tablet, vendite in leggero calo ma Apple può festeggiare
Samsung ha raddoppiato gli utili operativi nel giro di un anno
WatchGuard controllata da Vector Capital, resta il focus sugli Msp
WhatsApp per le aziende diventa (anche) un'Api in cloud
Killnet colpisce ancora, hacker russi sui siti di Csm e ministeri
Non solo ransomware: l’estorsione viaggia con il phishing
La trasformazione digitale rallenta, ma non dovrebbe farlo
Gli antivirus di Kaspersky sono sicuri? Un audit dice di sì
Intelligenza artificiale, le questioni etiche sono stimolo e ostacolo
Sergio Grassi guida le vendite e il marketing di V-Valley
Google in fuga dalla Russia con la dichiarazione di fallimento
Barracuda amplia l’offerta Sase per ambienti ibridi e IIoT
Con la nuova interfaccia di Outlook si lavorerà ancora meglio
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2022 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968

ICT ECOSYSTEM SUMMIT 2022

Vendor e Distributori preparano le squadre per la digitalizzazione del Paese
19-05-2022
Enterprise Hotel - Milano
 
ISCRIZIONE